miércoles, 4 de diciembre de 2024

Microsoft 365 Copilot Seguridad en I.A. Privacidad y Cumplimiento Normativo

La Inteligencia Artificial ha venido para quedarse, en Microsoft se llama Copilot y esta integrada en varias soluciones como Office, Azure o Microsoft 365. Hay varias preguntas que surgen en el momento que una I.A. se integra con un servicio empresarial, más aún si estas en España con el Reglamento General de Protección de Datos RGPD y en la Unión Europea, con una reglamentación estricta sobre datos personales y el derecho a la privacidad.

Así que le pregunte al propio Copilot, en mi caso "La Guaja",  sobre este tema y qué sucede con las consultas que hacen los usuarios de una empresa con M365 a Copilot....

 


Una de las repuestas que me da, es que los datos de esas peticiones no se utilizan para entrenar los modelos generales de ChatGPT, y las consultas son anónimas. Bueno, no esta mal, pero el uso de Copilot cumple con las normativas de privacidad y protección de datos personales de la Unión Europea o por el contrario, si los usuarios de la organización lo usan pueden estar vulnerando alguna ley o normativa.

Y como funciona exactamente el proceso de peticiones de Copilot, para asegurarme de que estos datos son correctos, la siguiente imagen muestra el sistema de peticiones de la I.A. de Microsoft...

En los siguientes enlaces puedes ampliar la información del uso de Copilot en Microsoft 365:

Copilot en el ecosistema de Microsoft 365
https://learn.microsoft.com/es-es/microsoft-365-copilot/extensibility/ecosystem

Datos, privacidad y seguridad para Microsoft 365 Copilot
https://learn.microsoft.com/es-es/copilot/microsoft-365/microsoft-365-copilot-privacy

Filtrado de contenido en Azure OpenAI Service
https://learn.microsoft.com/es-es/azure/ai-services/openai/concepts/content-filter

Seguridad en el Uso de Copilot

Los administradores pueden configurar la seguridad de los agentes de Copilot como aplicaciones en la sección Aplicaciones integradas del Centro de administración de M365, ver la lista de aplicaciones disponibles, implementadas o bloqueadas para su organización. Las opciones disponibles son:

  • Configurar un agente de Copilot disponible para usuarios o grupos específicos.
  • Bloquear o desbloquear los agentes de Copilot para toda la organización.
  • Implementar o quitar agentes de Copilot para toda la organización, usuarios o grupos específicos.

Aun así, Microsoft reconoce que existe la posibilidad de manipular una respuesta de Copilot en escenarios específicos....

"En tiempo de ejecución, Microsoft 365 Copilot motivos por una combinación de la solicitud del usuario, instrucciones personalizadas que forman parte del agente declarativo y datos proporcionados por acciones personalizadas. Todos estos datos pueden influir en el comportamiento del sistema y este procesamiento conlleva riesgos de seguridad, en concreto, que si una acción personalizada puede proporcionar datos de orígenes que no son de confianza (como correos electrónicos o vales de soporte técnico), un atacante podría ser capaz de crear una carga de mensaje que haga que el agente se comporte de una manera que controlan, respondiendo incorrectamente a preguntas o incluso invocando acciones personalizadas."

Fuente: Administración de agentes de Copilot en aplicaciones integradas
https://learn.microsoft.com/es-es/microsoft-365/admin/manage/manage-copilot-agents-integrated-apps

¿Los próximos ataques informáticos serán alteraciones en las respuestas de Inteligencia Artificial, que puedan influir en decisiones, configuraciones o acciones de los usuarios o procesos automatizados? 

Seguridad a lo Jabalí para Todo@s!!

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias